Image by Monique Carrati, from Unsplash
แฮกเกอร์เป้าหมายนักการทูตสหภาพยุโรปด้วยคำเชิญงานไวน์ปลอม
ระยะเวลาในการอ่าน: 1 นาที
อัพเดทล่าสุด: Apr 17, 2025
-
![Kiara Fabbri]()
-
![ทีมแปลภาษา]()
แปลโดย ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา
แฮ็กเกอร์รัสเซียที่แฝงตัวเป็นเจ้าหน้าที่สหภาพยุโรป ดึงดูดนักการทูตด้วยคำเชิญฟรีไวน์ปลอม โดยใช้มัลแวร์ซุ่มเร้น GRAPELOADER ในการส่งเสริมการรณรงค์สืบสวนที่เปลี่ยนแปลงอยู่ตลอดเวลา.
รีบร้อน? นี่คือข้อเท็จจริงที่สั้นๆ:
- APT29 โจมตีนักการทูตสหภาพยุโรปด้วยอีเมลฟิชชิ่งที่ปลอมเป็นคำเชิญงานไวน์
- GRAPELOADER ใช้กลยุทธ์ที่ซับซ้อนกว่ามัลแวร์ก่อนหน้านี้ รวมทั้งการปรับปรุงเพื่อต้านการวิเคราะห์
- มัลแวร์เรียกใช้รหัสที่ซ่อนอยู่ผ่านการโหลด DLL ข้างเคียงในไฟล์ PowerPoint
นักวิจัยด้านความปลอดภัยไซเบอร์ได้เผยแพร่คลื่นใหม่ของการโจมตีแบบฟิชชิ่ง ซึ่งดำเนินการโดยกลุ่มแฮ็กกี้ที่มีความเกี่ยวข้องกับรัสเซีย ที่รู้จักกันในชื่อ APT29 หรือ Cozy Bear. แคมเปญนี้ ซึ่งถูกCheck Pointระบุ มุ่งเป้าที่นักการทูตยุโรป โดยทำให้พวกเขาหลงเชื่อโดยใช้คำเชิญปลอมสู่งานชิมไวน์ทางการทูต.
การสอบสวนพบว่าผู้โจมตีแอบอ้างตัวเป็นกระทรวงการต่างประเทศของยุโรป และส่งอีเมลเชิญนักการทูตที่ดูเหมือนจะเป็นทางการ อีเมลเหล่านี้มีลิงค์ที่เมื่อคลิก จะนำไปสู่การดาวน์โหลดมัลแวร์ที่ซ่อนอยู่ในไฟล์ชื่อ wine.zip.
ไฟล์นี้ติดตั้งเครื่องมือใหม่ที่เรียกว่า GRAPELOADER ซึ่งช่วยให้ผู้โจมตีสามารถเข้าสู่ระบบคอมพิวเตอร์ของเหยื่อได้ GRAPELOADER จะรวบรวมข้อมูลระบบ, สร้างช่องทางลับเพื่อรับคำสั่งเพิ่มเติม และทำให้มัลแวร์ยังคงอยู่ในอุปกรณ์ แม้หลังจากที่เริ่มต้นใหม่แล้ว
“GRAPELOADER ปรับปรุงเทคนิคต้านการวิเคราะห์ของ WINELOADER ให้ดียิ่งขึ้น ในขณะที่เพิ่มวิธีการซ่อนตัวที่สูงขึ้น”, นักวิจัยระบุ แคมเปญนี้ยังใช้เวอร์ชันใหม่ของ WINELOADER, ประตูหลังที่รู้จักจากการโจมตี APT29 ในอดีต, ซึ่งเป็นไปได้ว่าจะถูกใช้ในช่วงหลัง
อีเมล์ฟิชชิ่งถูกส่งจากโดเมนที่ปลอมออกมาเป็นเหมือนเจ้าหน้าที่กระทรวงจริง หากลิงก์ในอีเมล์ไม่สามารถหลอกลวงเป้าหมายได้, อีเมล์ติดตามจะถูกส่งออกเพื่อลองอีกครั้ง ในบางกรณี, การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ของกระทรวงจริงเพื่อหลีกเลี่ยงความสงสัย
กระบวนการติดเชื้อใช้ไฟล์ PowerPoint ที่ถูกต้องเพื่อเรียกใช้โค้ดที่ซ่อนอยู่ด้วยวิธีที่เรียกว่า “DLL side-loading” ภัยคุกคามนั้นจะทำการคัดลอกตัวเองไปยังโฟลเดอร์ที่ซ่อนอยู่ และเปลี่ยนการตั้งค่าระบบเพื่อเริ่มต้นโดยอัตโนมัติ และเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลทุกนาทีเพื่อรอคำสั่งถัดไป
ผู้โจมตีได้ทำทุกวิธีเพื่อที่จะซ่อนตัวเอง โมดูลภัยคุกคาม GRAPELOADER ใช้เทคนิคที่ซับซ้อนเพื่อทำให้โค้ดของตัวเองเป็นเรื่องยาก ลบร่องรอยของตัวเอง และหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย วิธีเหล่านี้ทำให้นักวิเคราะห์มีความยากลำบากในการแยกและศึกษาโมดูลภัยคุกคาม
แคมเปญนี้แสดงให้เห็นว่า APT29 ยังคงพัฒนากลยุทธ์ของตนอย่างต่อเนื่อง โดยใช้วิธีการที่สร้างสรรค์และซับซ้อนในการสืบสวนเป้าหมายของรัฐบาลต่างๆทั่วยุโรป
เรื่องราวก่อนหน้านี้
บทความล่าสุด 
